Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Virus.win32.delf.ak und IEHlpr - ich krieg's einfach nicht weg! (https://www.trojaner-board.de/41321-virus-win32-delf-ak-iehlpr-kriegs-einfach-weg.html)

Morrrison 26.07.2007 00:32
Virus.win32.delf.ak und IEHlpr - ich krieg's einfach nicht weg!
 
Ich habe mich hier schön öfter mal als Gast schlau gemacht und eigentlich immer eine Lösung gefunden. Diesmal nicht :schmoll:

Ich benutze neuerdings das Programm XoftSpySE. Und das hat jede Menge Sachen gefunden, die mein Kaspersky Internet Security, AdAware und Spybot einfach durchgehen ließen und lassen. Der Rechner (XP Home, SP2, auf dem aktuellen Windows Update-Stand bis auf den IE, den ich nie benutze) läuft auch eigentlich - außer, dass er mir beim Start vielleicht ein wenig lahm vorkommt, ganz rund. Nur diese beiden Scheißer - Virus.win32.delf.ak und IEHlpr - kriege ich laut XoftSpySE nicht weg. Ich behebe zwar beide Probleme mit dem Programm. Aber nach dem nächsten Neustart sind sie wieder da. Und so sieht das aus:

http://i87.photobucket.com/albums/k1...rison/bugs.jpg

Hier mein HJThis Logfile. Vielleicht ist da ja was zu finden.

Logfile of HijackThis v1.99.1
Scan saved at 00:53:23, on 26.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE
C:\WINDOWS\system32\wuauclt.exe
D:\Programme neu\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de
F2 - REG:system.ini: Shell=
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Programme neu\FlashGet\jccatch.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Programme neu\FlashGet\getflash.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\Programme neu\FlashGet\fgiebar.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [EPSON Stylus DX6000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "C:\WINDOWS\TEMP\E_S99.tmp" /EF "HKLM"
O8 - Extra context menu item: &Alles mit FlashGet laden - D:\Programme neu\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - D:\Programme neu\FlashGet\jc_link.htm
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - h**p://-Web.Washer-/ie_add
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme neu\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme neu\FlashGet\FlashGet.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183134135859
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe



Wäre Spitze, wenn Ihr mir da weiter helfen könntet.
Besten Dank im Voraus!

cosinus 26.07.2007 19:23
Zitat:
F2 - REG:system.ini: Shell=
Im Logfile macht dieser Eintrag einen merkwürdigen Eindruck, ich würde ihn fixen.

Die Funde vom XoftSpy würde ich nicht so ernst nehmen, gerade der letzte Eintrag sieht sehr nach einem Fehlalarm aus (ist ne Textdatei!).
Die drei gefundenen Registry-Einträge sehen schon etwas herber aus, prinzipiell könnten die sogar vom Rbot stammen. Auch wenn ich die als Fehlalarme einstufe, würde ich dich doch mal bitten nochmal mit Blacklight das System zu scannen.

Zu xoftspy gabs übrigens schon mal diesen Strang.

Morrrison 26.07.2007 22:07
Backlight kannte ich noch nicht. Hab's gerade mal durchlaufen lassen. Hat nichts gefunden. Dass Xoftspy so einen schlechten Ruf hat, wusste ich nicht. Ich dachte, das wäre ein mörder Tool, weil es beim ersten Durchgang soviel gefunden hat. Allerdings ist der Thread, auf den Du verweist, ja auch schon ein paar Tage älter... Aber egal. Du meinst also: Fehlalarm?!

Wäre ja schön. Ich danke Dir auf jeden Fall für deine Hilfe und Einschätzung. Vielleicht hat aber ja noch jemand eine andere Meinung?


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131